Windows BitLockerの暗号化はLive Bootによって破られる可能性がありますか？

まず、「bitlockerの仕組み」をGoogleに入力して、いくつかの記事を読んでください。あなたはおそらくあなたの質問への答えを学ぶでしょう（そして他にもっとたくさんの面白いもの！）。

あなたが簡単な答えを求めているなら、私は Microsoftによる記事 を見つけました：

起動プロセス中に、TPMは、重要なオペレーティングシステム構成値のハッシュを以前に取得したスナップショットと比較した後にのみ、暗号化されたパーティションのロックを解除するキーを解放します。これにより、Windows起動プロセスの整合性が検証されます。 TPMがWindowsインストールが改ざんされたことを検出した場合、キーは解放されません。

ここには2つの重要なポイントがあります。

1. ハードドライブを復号化するためのキーはマザーボードのTPMチップに格納されているため、同じマザーボードでライブブートする必要があり、ライブブートOSはTPMにキーをリリースするように説得する必要があります。

2. 上記から100％明確ではありませんが、TPMは起動時にRAMをチェックして、起動中のOSが最初に暗号化キーを登録したOSと同じであることを確認しているようです。

したがって、TPMを「だまして」、ライブブートLinuxのキーを解放することはおそらく難しいでしょう。

とはいえ、ウィキペディアには攻撃の成功に関する詳細があります： https://en.wikipedia.org/wiki/BitLocker#Security_Concerns

2008年2月、セキュリティ研究者のグループが、いわゆる「コールドブート攻撃」の詳細を公開しました。これにより、USBドライブなどのリムーバブルメディアから別のオペレーティングシステムでマシンを起動することにより、BitLockerなどのフルディスク暗号化システムが危険にさらされます。システム、次にプリブートメモリの内容をダンプします。[34]

したがって、Linuxを起動してドライブを読み取るだけのようには簡単ではないようですが、エキスパートハッカーが実行中にコンピュータにアクセスし、復号化されたドライブにログインするとその後、RAMにまだ古いデータが残っているため、Linuxを再起動して、復号化キーをメモリから直接取り出し、TPMを完全にバイパスします。この攻撃の詳細については、 wikipedia/Cold_boot_attack を参照してください。

@AndréBorieが指摘しているように コメント内 、電気工学を行い、TPMと残りのマザーボードとの間の接続を嗅ぎたい場合は、システムを通常どおり起動して復号化を読み取​​ることができます。ワイヤーを外します。

昔の格言が再び正しいと思います。 10の不変のセキュリティ法則 ：

法則3：悪意のある人があなたのコンピューターに無制限に物理的にアクセスできる場合、それはもはやあなたのコンピューターではありません。